Complementos falsos de WordPress: ¿Qué necesitas saber?

Hay muchas aplicaciones que ahorran tiempo, cuadros CSS y bibliotecas JavaScript que puede usar como desarrollador de WordPress para simplificar sus flujos de trabajo. ¿Qué pasa con los complementos? ¿Especialmente aquellos que se encuentran en WordPress Warehouse o WPMU Dev Membership? Hable sobre conveniencia y satisfacción instantánea. Los complementos son definitivamente uno de las ventajas de crear sitios web que usan WordPress. Sin embargo, los complementos pueden comprometer seriamente la seguridad de su sitio si no tiene cuidado. Con el 54% de las vulnerabilidades detectadas atribuidas a los complementos, no es ningún secreto que esta es la causa principal de la violación de seguridad de WordPress. Por supuesto, esto generalmente se puede reducir al error de un usuario (es decir, un complemento no se ha actualizado cuando debería). Pero a veces estos problemas de seguridad de arado no tienen nada que ver con este tipo de error de usuario. En cambio, aparecen de otros usuarios; En particular, los piratas informáticos que a sabiendas inyectan sus propios complementos con código malicioso.
Sí, lo es: se crean complementos falsos de WordPress con el propósito explícito de infectar sitios web. Como verá pronto, estas infecciones no siempre son fáciles de detectar de inmediato. Echemos un vistazo a por qué los piratas informáticos usan complementos de WordPress para llegar a su sitio web, cómo lo hace y qué puede hacer para evitarlo. Los complementos falsos de WordPress que han engañado bien a todos, para que sepa cómo bloquear un sitio de WordPress. El área de administración requiere atención, así como el director raíz de su sitio. Cualquier contacto directo que los visitantes hagan con su sitio deben estar fortificados, así como sus hosts web. Básicamente, cada ángulo debe estar cubierto. Pero, ¿qué haces cuando el truco proviene del interior de tu sitio? Terrible película. Gran línea. [/pic_full] hackers que se dirigen a construir un complemento falso de WordPress saben lo que están haciendo. Muchos de los complementos falsos que realmente afectaron los sitios web de los usuarios no han sido detectados, porque el código de la primera apariencia de la primera vista legítimo. También hay complementos falsos bastante aterradores que no han comenzado. Si nunca antes ha encontrado un complemento falso de WordPress, permítame presentarle una serie de casos bien conocidos: el complemento PingatorPin PingatorPin fue un complemento en 2013 que no se identificó de inmediato como lo que realmente era. Juices se encontró con una gran cantidad de sitios web que contienen malware, todos compartiendo un conjunto similar de archivos. Solo cuando comenzaron a profundizar, se dieron cuenta de que el complemento PingatorPin era la fuente de spam en estos sitios.
Y el complemento Captcha Anti-Spam, ¿quieres ver algo complicado? Luego obtienes una carga del complemento y Captcha, que, en el verano de 2017, era en realidad un complemento Captcha válido. En junio, el complemento fue comprado por otro lado y cambió a su propietario. Entonces comenzaron los problemas. El nuevo propietario agregó el código al complemento que permitiría que un servidor separado inyecte comerciales de préstamos el día de pago en las publicaciones de blog de los usuarios. No fue el único complemento que este hacker usó porque otros ocho complementos de WordPress se usaron como un medio para llevar la puerta trasera a los sitios web para ejecutar spam allí. Desarrolladores conocidos y luego emitirán actualizaciones con vulnerabilidad dentro de ellos que les dan acceso a los usuarios ‘ sitios. Saben que los desarrolladores de WordPress y otros usuarios que son hipervigilantes en seguridad son probablemente reacios a usar un complemento poco conocido, por lo que este movimiento súper roto es realmente muy inteligente cuando lo piensas. Plugin WP-Base-SEO Casi 4,000 sitios web de WordPress se violaron en abril de 2017, cuando se instaló el complemento WP-Base-SEO. El hacker detrás de él no construyó el complemento desde cero, ni compró un complemento conocido para ganar la confianza de los usuarios. En cambio, copiaron el código de otro complemento de SEO para pasarlo como un complemento legítimo, que probablemente escapó de la atención de los escáneres en línea.
Por supuesto, este no era el caso, porque la gente pronto se dio cuenta de que algo andaba mal. En la inspección, pronto identificaron una serie de archivos sospechosos junto con una solicitud de PHP codificada en Base64 que condujo a la infección. X-WPS-SSPAM-SHIELD -PRO El último caso de un falso complemento de WordPress es realmente espeluznante. Tipo: X-WP-Spam-Shield-Pro. Para todos los propósitos, parecía ser un complemento de seguridad bien codificado para WordPress. Incluso tenía estructuras plegables similares a las de un complemento normal y seguro. Pero una vez que los jugos lo pusieron en las manos, así como algunos sitios infectados por él, notaron problemas importantes con el código. Solo una muestra de lo que siguió:
La versión actual de WordPress.
Una lista de todos los complementos instalados en el sitio.
Una lista de administradores del sitio.
Los nombres de los usuarios autenticados, sus contraseñas, así como las direcciones IP, entre otros detalles confidenciales.
Una vez que tuvo toda esta información, tenía el poder de:
Agregue un nuevo usuario administrador, dándose la oportunidad de moverse libremente en el sitio.
Deshabilite cualquier complemento utilizado en el sitio, incluidos los complementos de seguridad.
Cargue cualquier archivo en el sitio.
Reciba una notificación cada vez que alguien haya instalado el complemento para que sepan cuándo tiene acceso completo para demolerlo.
Cosas aterradoras.
Así que echemos un vistazo a lo que puede hacer para evitar que sus sitios de WordPress sean complementos falsos. 9 mejores prácticas para los complementos de WordPress para mantener a los piratas informáticos ahora que saben lo que los hackers están buscando con complementos falsos, es su trabajo asegurarse de no caer en sus trampas. Aquí hay 9 mejores prácticas para los complementos de WordPress que debe continuar: 1. Revise el complemento de control de calidad general si encuentra un fideicomiso de complementos de WordPress para complementos de WordPress (como CodeCanyon), examínelo.
Esto es lo que necesitas buscar:
En primer lugar, la reputación del desarrollador de complementos. Si no los reconoce, investigue para verificar su credibilidad.
La frecuencia de las actualizaciones también es importante porque un sitio web que permanece intacto o no más de unos pocos meses puede ser un signo grave de problemas; Puede que no sea falso, pero está abandonado y no tiene apoyo disponible.

Por lo general, puede decir mucho sobre la calidad de un complemento dependiendo de cuántas personas use. Diría que más de unos pocos miles es un número seguro en el que puedes confiar.
Las evaluaciones van de la mano con el número de usuarios. Un puntaje por debajo de 4.5 debería preguntarle “¿Por qué?”

Finalmente, debe explorar los comentarios reales dejados por los usuarios cuando han evaluado el complemento. Esto le dará una mejor vista a los problemas recurrentes del complemento. Cualquier nota sobre la seguridad y debe renunciar inmediatamente al complemento. Si encuentra un complemento fuera de los recursos estándar y confiables de WordPress, entonces deberá investigar fuera de ellos. Una búsqueda en Google es un buen lugar para comenzar, al igual que los foros de WordPress. Le darán una idea del tipo de quejas o problemas que enfrentaron otros usuarios.
2. Revise el código primero que debe hacer antes de instalar un nuevo complemento es inspeccionar la estructura del archivo y asegurarse de que se vea legítimo. Si pasa la inspección, puede echar un vistazo más de cerca al código. Incluso si no es un desarrollador de complementos, podrá identificar posibles problemas con la codificación en los archivos de complemento si mira lo suficientemente de cerca. Si hay solicitudes de información confidencial que no pertenecen allí, entonces sabrá que sucede algo. 3. Revise su tema, ¿ha oído hablar de las exploits de revolución de Timhumbs o Slider? Aunque estos no fueron casos de complementos falsos, sus vulnerabilidades pudieron pasar por grietas debido a la forma en que se usaron.
Algunos temas de WordPress incluirán un conjunto de complementos en ellos. Esto puede parecer conveniente tener todas las funcionalidades incorporadas listas para el funcionamiento, pero puede plantear problemas serios si el desarrollador del tema no se mantiene al día con las operaciones de seguridad del complemento y emite sus actualizaciones para los usuarios. Por lo tanto, haga un favor y revise su tema para ver si incluye complementos en él. Timthumb, las formas de revolución y gravedad de Timthumber son tres de los complementos más problemáticos cuando se dejan no actuados, por lo que serán sus primeras señales rojas. En general, sin embargo, es una buena idea saber qué tiene allí si se detecta un nuevo exploit o un enchufe falso. 4. Use un escáner de vulnerabilidad puede no poder identificar un complemento falso para lo que es, pero ciertamente anunciará cuándo se detecta el malware, el spam u otras infecciones. 5. Use un Peplogin de defensor de complemento de seguridad desde WPMU Dev.
Los complementos de seguridad tienen una serie de responsabilidades en su sitio web; Uno de ellos es informarle cuando los complementos se eliminan del almacén de WordPress o se han informado de lo contrario. 6. Administre y mantenga sus complementos si los complementos eran únicos y listos. Desafortunadamente, estos útiles asistentes de WordPress necesitan atención y amor regulares. Esto es lo que puede hacer para administrar y mantener la lista correctamente:
Mantenga todos los complementos (así como el núcleo y el tema de WordPress) actualizados.
Elimine cualquier complemento antiguo o no utilizado.
Inmediatamente tire todos los complementos falsos de WordPress o aquellos con serios problemas de seguridad o rendimiento.Vea esta lista de Simplock para ver si tiene alguno ahora.7.Revise su sitio después de instalar el complemento cada vez que instale un nuevo complemento o actualice uno, asegúrese de haber examinado el sitio web en vivo.Muchos usuarios ni siquiera sabían que tenían complementos falsos instalados hasta que notaron comerciales de spam que aparecen en su blog.8. Utilice la base de datos de vulnerabilidad WPSCAN
Una mirada a la base de datos de vulnerabilidad WPSCAN.

Esta herramienta de seguimiento en línea conserva una lista continua de vulnerabilidades detectadas en WordPress, complementos y temas. Si le preocupa que un complemento que use puede tener problemas, úselo como punto de referencia. En realidad, suscríbase a sus alertas para que siempre sepa cuándo se ha informado un problema de WordPress. 9. Solo confía en lo mejor cuando tiene dudas, proporcione sus complementos de WordPress solo de los mejores. Si le preocupa que esto tome más tiempo mientras investiga el almacén y Codecanyon para desarrolladores de renombre, no lo sea. WPMU Dev ofrece un caché de complementos que cubre casi todas las bases que necesita para un sitio de alto rendimiento. La conclusión incluso con los más estrictos estándares de seguridad vigentes, los piratas informáticos encontrarán una manera de explotar las vulnerabilidades conocidas de WordPress. Desafortunadamente, una de estas debilidades es nuestra adicción a los complementos para administrar gran parte del trabajo en nuestro nombre. Por supuesto, eso no significa que deba dejar de usar complementos de WordPress. Simplemente significa que debe estar más atento y también un poco cauteloso al decidir qué complementos usar en su sitio de WordPress. Siempre que respete las mejores prácticas para los complementos y solo confíe en terceros bien conocidos y verificados en detalle para brindarle las funciones y características mejoradas del sitio, debe descubrir que los complementos falsos están algo interesados. Alguna vez encontró un complemento falso ¿En sus viajes a través de WordPress Plugin Warehouse o en cualquier otro lugar de la web?
Etiquetas:
Complementos de WordPress